Prise en charge de l’intégration Réponse aux vulnérabilités avec Microsoft Defender pour IoT (Azure)

Gestion des technologies opérationnelles Yokohama

Release

yokohama

ft:locale

fr-FR

ft:publication_title

Gestion des technologies opérationnelles Yokohama

ft:clusterId

optm

bundleId

optm

workflow

Technology

Prise en charge de l’intégration Réponse aux vulnérabilités avec Microsoft Defender pour IoT (Azure)

Rversion finale: Yokohama

Mis à jour 30 janv. 2025

4 minutes de lecture

Vous pouvez vous référer à cette section pour les questions concernant le mappage des données et la gestion des erreurs.

Mappage de données

Les tableaux suivants décrivent les champs de mappage de données utilisés pour la détection des vulnérabilités et les entrées de base de données de vulnérabilité nationale (NVD) dans l’application Microsoft Defender pour IoT (Azure) et s’il existe une entrée équivalente utilisée après l’importation des données dans .ServiceNow CMDB

Tableau 1. Détection de vulnérabilité
Champ Microsoft Defender pour IoT (Azure)	Champ ServiceNow
N/A	source Remarque : Définissez toujours ce champ sur Microsoft Azure Defender pour IoT.
nom	detection_key
N/A	statut Remarque : Ce champ est défini sur 0, ce qui signifie ouvert, par défaut.

Tableau 2. Entrées NVD
Champ Microsoft Defender pour IoT (Azure)	Champ ServiceNow
properties/vulnerabilityId	id
	source Remarque : Ce champ est défini sur NVD par défaut.
properties/description	résumé
properties/score	score
propriétés/type d’exploit	Existence de l'exploit Si les données d’API indiquent qu’un exploit existe, l’intégration définit ce champ sur Oui.
propriétés/type d’exploit	public_exploit Si les données d’API indiquent qu’un exploit existe, l’intégration définit ce champ sur Oui.

Recherche d’élément de configuration (CI)

La recherche de CI est effectuée à l’aide du deviceId de Microsoft Defender pour IoT (Azure). La table sys_object_source, renseignée par Connecteur du graphe de services, recherche le deviceId correspondant. Si une correspondance est trouvée, la détection et l’élément vulnérable sont liés à ce CI.

Remarque :

Par défaut, une correspondance de CI est requise pour insérer des détections de vulnérabilité. Cela permet de minimiser les CI matériels non classés dans votre CMDB. Pour modifier ce comportement, vous pouvez définir la propriété sn_msftd4iotazvr.require_ci_matchsystem sur false. Définir la propriété sur faux permet de créer des CI matériels non classés si aucune correspondance de CI n’est trouvée.

Gestion des erreurs

L’intégration est conçue pour être principalement préconfigurée, de sorte que vous n’avez qu’à saisir votre ID de locataire Azure, votre ID client et votre secret client. Les messages du journal de l’application sont consultables dans les journaux système à partir de la source sn_msftd4iotazvr . Un message de journal pertinent supplémentaire peut également apparaître à partir de la source sn_vul .

Si l’exécution de l’intégration échoue, l’erreur s’affiche dans le champ Notes de l’exécution de l’intégration. L’état est défini sur Terminé avec un sous-état Échoué.

La table File d’attente d’importation (sn_vul_ds_import_q_entry) contient toutes les demandes de transformation en attente. Vous pouvez filtrer cette table pour afficher uniquement les éléments dont l’état est Traitement afin d’afficher ce qui est actuellement en cours de transformation.

Les tableaux suivants décrivent les messages d’erreur et les causes possibles lors de la récupération et du traitement des données.

Tableau 3. Intégration de détection de vulnérabilité (récupération de données)
Message d'erreur	Cause possible
Impossible d’exécuter l’intégration sans qu’un message REST et une méthode REST ne soient spécifiés	Sur l’enregistrement de la tâche d’intégration de détection, les champs de message REST ou de méthode REST ne sont pas renseignés.
Impossible d’exécuter l’intégration sans que Microsoft Defender pour IoT (Azure) oauth_client_id spécifié	Sur l’instance d’intégration, l’ID client OAuth n’est pas renseigné.
Impossible d’exécuter l’intégration sans que Microsoft Defender pour IoT (Azure) oauth_client_secret spécifié	Sur l’instance d’intégration, le secret client OAuth n’est pas renseigné.
Impossible d’exécuter l’intégration sans le chemin d’accès de la ressource d’API de détection spécifié	Sur l’instance d’intégration, le chemin d’accès de la ressource d’API de détection n’est pas renseigné. La valeur par défaut est `https://management.azure.com/providers/Microsoft.ResourceGraph/resources`
Impossible d’exécuter l’intégration avec la version d’API spécifiée	Sur l’instance d’intégration, la version de l’API n’est pas renseignée. La valeur par défaut est 2021-03-01.
Code de réponse non valide {code de réponse} reçu de Microsoft Defender pour IoT (Azure)	La réponse de l’API Microsoft n’est pas valide. Par exemple, le code de réponse non valide 401 reçu de Microsoft Defender pour IoT (Azure) signifie non autorisé. Les informations d’identification ou le jeton OAuth ne sont probablement pas valides.
Échec de l’analyse du corps de la réponse JSON	La réponse JSON reçue n’est pas valide si elle ne peut pas être analysée. Cela signifie qu’aucune donnée n’a été reçue. Assurez-vous que les informations d’identification sont correctes et qu’aucune autre erreur ne se produit.
Erreur d’écriture de la pièce jointe	Le système n’a pas pu joindre les données de réponse à la source de données. Vous devrez probablement contacter votre administrateur système pour un dépannage plus approfondi. Une cause courante de cette erreur est que le rôle sn_vul.vr_import_admin n’est pas valide pour le Serveur MID ou Exécuter en tant qu’utilisateur .
Le contenu de la pièce jointe est nul : la pièce jointe sys_id = {sys_id}	Le contenu de la pièce jointe de la source de données est nul. Cela peut indiquer un problème avec l’API Microsoft elle-même ou un problème dans ServiceNow. Contactez votre administrateur système pour un dépannage plus approfondi.
Impossible de trouver la pièce jointe avec sys_id {sys_id}	La pièce jointe de la source de données est introuvable. Cela peut indiquer un problème avec l’API Microsoft elle-même ou un problème dans ServiceNow. Contactez votre administrateur système pour un dépannage plus approfondi.

Tableau 4. Intégration de la détection des vulnérabilités (traitement des données)
Message d'erreur	Cause possible
Impossible de créer une détection sans ID de vulnérabilité	Un ID de vulnérabilité n’était pas présent pour l’enregistrement. Cela est probablement dû à un problème avec l’API Microsoft.